トポロジ アドレステーブル デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ ゲートウェイ G0/1 192.168.1.1 255.255.255.0 N/A S0/0/1 209.165.201.18 255.255.255.252 N/A ISP S0/0/0 (DCE) 209.165.201.17 255.255.255.252 N/A Lo0 192.31.7.1 255.255.255.255 N/A PC-A( シミュレート されたサーバ ) NIC 192.168.1.20 255.255.255.0 192.168.1.1 PC-B NIC 192.168.1.21 255.255.255.0 192.168.1.1 学習目標 パート 1: ネットワークの構築と接続の確認 パート 2: スタティック NAT の設定と確認 パート 3: ダイナミック NAT の設定と確認 背景 / シナリオ ネットワークアドレス変換 (NAT) は シスコのルータなどのネットワークデバイスがプライベートネットワーク内のホストデバイスにパブリックアドレスを割り当てるプロセスです NAT を使用する主な理由は 使用可能な IPv4 パブリックアドレスの数に制限があるため 組織が使用するパブリック IP アドレスの数を減らすためです 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 9 ページ
この実習では ISP は会社に 209.165.200.224/27 のパブリック IP アドレス空間を割り当てています これにより 会社に 30 個のパブリック IP アドレスが提供されます アドレス 209.165.200.225 ~ 209.165.200.241 はスタティック割り当て用で 209.165.200.242 ~ 209.165.200.254 はダイナミック割り当て用です スタティックルートは ISP とゲートウェイルータの間で使用され デフォルトルートはゲートウェイと ISP ルータの間で使用されます インターネットへの ISP 接続が ISP ルータのループバックアドレスによってシミュレートされます 注 :CCNA の実習で使用するルータは Cisco IOS Release 15.2(4)M3(universalk9 イメージ ) を搭載した Cisco 1941 Integrated Services Router(ISR) です また 使用するスイッチは Cisco IOS Release 15.0(2)(lanbasek9 イメージ ) を搭載した Cisco Catalyst 2960 です 他のルータ スイッチ および Cisco IOS バージョンを使用できます モデルと Cisco IOS バージョンによっては 使用できるコマンドと生成される出力が 実習とは異なる場合があります 正しいインターフェイス ID については この実習の最後にあるルータインターフェイスの集約表を参照してください 注 : ルータとスイッチが消去され スタートアップコンフィギュレーションがないことを確認してください 不明な場合は インストラクターに相談してください 必要なリソース ルータ 2 台 (Cisco IOS Release 15.2(4)M3 ユニバーサルイメージまたは同等イメージを搭載した Cisco 1941) スイッチ 1 台 (Cisco IOS Release 15.0(2) の lanbasek9 イメージを搭載した Cisco 2960 または同等機器 ) PC 2 台 (Tera Term など ターミナルエミュレーションプログラムを備えた Windows 7 Vista または XP 搭載 PC) コンソールポート経由で Cisco IOS デバイスを設定するためのコンソールケーブル トポロジに示すようなイーサネットケーブルとシリアルケーブル パート 1: ネットワークの構築と接続の確認 パート 1 では ネットワークトポロジを設定し インターフェイス IP アドレス スタティックルーティング デバイスアクセス パスワードなどの基本設定を行います 手順 1: トポロジに示すようにネットワークを配線します トポロジ図に示されているデバイスを接続し 必要に応じてケーブル配線を行います 手順 2: PC ホストを設定します 手順 3: 必要に応じて ルータとスイッチを初期設定し リロードします 手順 4: 各ルータの基本設定を行います a. DNS lookup をディセーブルにします b. アドレステーブルにリストされているルータの IP アドレスを設定します c. DCE シリアルインターフェイスのクロックレートを 1280000 に設定します d. トポロジに示すようにデバイス名を設定します e. コンソールおよび VTY パスワードとして cisco を割り当てます f. 暗号化された特権 EXEC モードパスワードとして class を割り当てます g. コンソールメッセージによってコマンド入力が中断されないように ロギングの同期を設定します 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2 / 9 ページ
手順 5: ISP 側のシミュレートされた Web サーバを作成します a. 暗号化されたパスワード webpass を持つ webuser という名前のローカルユーザを作成します ISP(config)# username webuser privilege 15 secret webpass b. ISP の HTTP サーバサービスをイネーブルにします ISP(config)# ip http server c. ローカルユーザデータベースを使用するように HTTP サービスを設定します ISP(config)# ip http authentication local 手順 6: スタティックルーティングを設定します a. 割り当てられたパブリックネットワークアドレス範囲 209.165.200.224/27 を使用して ISP ルータからゲートウェイルータへのスタティックルートを作成します ISP(config)# ip route 209.165.200.224 255.255.255.224 209.165.201.18 b. ゲートウェイルータから ISP ルータへのデフォルトルートを作成します Gateway(config)# ip route 0.0.0.0 0.0.0.0 209.165.201.17 手順 7: 実行コンフィギュレーションをスタートアップコンフィギュレーションに保存します 手順 8: ネットワーク接続を確認します a. PC のホストから ゲートウェイルータの G0/1 インターフェイスに ping します ping が失敗した場合は トラブルシューティングします b. 両方のルータのルーティングテーブルを表示し 両方のルータでスタティックルートがルーティングテーブルに存在しており正しく設定されていることを確認します パート 2: スタティック NAT の設定と確認 スタティック NAT はローカルアドレスとグローバルアドレスの 1 対 1 マッピングを使用するので これらのマッピングは一定のままです スタティック NAT は インターネットからアクセス可能なスタティックアドレスを持つ必要がある Web サーバまたはデバイスの場合に特に有用です 手順 1: スタティックマッピングを設定します プライベート内部のサーバアドレス 192.168.1.20 とパブリックアドレス 209.165.200.225 間の変換をルータに指示するようにスタティックマップを設定します これによって ユーザはインターネットから PC-A にアクセスできます PC-A は インターネットからアクセスできる固定アドレスのサーバまたはデバイスをシミュレートしています Gateway(config)# ip nat inside source static 192.168.1.20 209.165.200.225 手順 2: インターフェイスを指定します インターフェイスに ip nat inside および ip nat outside コマンドを発行します Gateway(config)# interface g0/1 Gateway(config-if)# ip nat inside Gateway(config-if)# interface s0/0/1 Gateway(config-if)# ip nat outside 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 3 / 9 ページ
手順 3: 設定をテストします a. show ip nat translations コマンドを実行して スタティック NAT テーブルを表示します Gateway# show ip nat translations 内部ローカルホストアドレスの変換対象は何ですか? 192.168.1.20 = 内部グローバルアドレスは何によって割り当てられていますか? 内部ローカルアドレスは何によって割り当てられていますか? b. PC-A から ISP の Lo0 インターフェイス (192.31.7.1) へ ping を実行します ping に失敗した場合は 問題をトラブルシューティングして修正します ゲートウェイルータで NAT テーブルを表示します Gateway# show ip nat translations icmp 209.165.200.225:1 192.168.1.20:1 192.31.7.1:1 192.31.7.1:1 PC-A が ISP の 192.31.7.1 へ ICMP 要求 (ping) を送信したときに プロトコルとしてリストされる ICMP と共に NAT エントリがテーブルに追加されました この ICMP 交換に使用されたポート番号はなんですか? 注 : この実習で ping を成功させるために PC-A のファイアウォールをディセーブルにしなければならない場合があります c. PC-A から ISP Lo0 インターフェイスへ telnet を実行し NAT テーブルを表示します icmp 209.165.200.225:1 192.168.1.20:1 192.31.7.1:1 192.31.7.1:1 tcp 209.165.200.225:1034 192.168.1.20:1034 192.31.7.1:23 192.31.7.1:23 注 :NAT の ICMP 要求は タイムアウトになり NAT テーブルから削除されることがあります この変換で使用されたプロトコルは何でしたか? 使用されたポート番号は何ですか? 内部グローバル / ローカル : 外部グローバル / ローカル : d. スタティック NAT が PC-A に設定されたため ISP からスタティック NAT パブリックアドレス (209.165.200.225) の PC-A への ping が正常に実行できることを確認します e. ゲートウェイルータで NAT のテーブルを表示して変換を確認します Gateway# show ip nat translations icmp 209.165.200.225:12 192.168.1.20:12 209.165.201.17:12 209.165.201.17:12 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 4 / 9 ページ
外部ローカルおよび外部グローバルアドレスが同じであることがわかります このアドレスは ISP のリモートネットワーク発信元アドレスです ISP からの ping を成功させるため 内部グローバルスタティック NAT アドレス 209.165.200.225 は PC-A(192.168.1.20) の内部ローカルアドレスに変換されました f. ゲートウェイルータで show ip nat statistics コマンドを使用して NAT 統計情報を確認します Gateway# show ip nat statics Total active translations: 2 (1 static, 1 dynamic; 1 extended) Peak translations: 2, occurred 00:02:12 ago Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 39 Misses: 0 CEF Translated packets: 39, CEF Punted packets: 0 Expired translations: 3 Dynamic mappings: Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0 注 : これはサンプル出力にすぎません 出力は正確に一致しないことがあります パート 3: ダイナミック NAT の設定と確認 ダイナミック NAT は パブリックアドレスのプールを使用して 先着順に割り当てます 内部デバイスが外部ネットワークへのアクセスを要求すると ダイナミック NAT はプールから使用可能なパブリック IPv4 アドレスを割り当てます ダイナミック NAT の結果は ローカルアドレスとグローバルアドレスの多対多のアドレスマッピングとなります 手順 1: NAT をクリアします ダイナミックな NAT の追加に進む前に パート 2 の NAT と統計情報をクリアします Gateway# clear ip nat translation * Gateway# clear ip nat statistics 手順 2: LAN のプライベート IP アドレス範囲に一致するアクセスコントロールリスト (ACL) を定義します ACL 1 を使用して 192.168.1.0/24 ネットワークの変換を許可します Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255 手順 3: NAT インターフェイスの設定がまだ有効であることを確認します ゲートウェイルータで show ip nat statistics コマンドを実行して NAT 設定を確認します 手順 4: 使用可能なパブリック IP アドレスのプールを定義します Gateway(config)# ip nat pool public_access 209.165.200.242 209.165.200.254 netmask 255.255.255.224 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 5 / 9 ページ
手順 5: 内部発信元リストから外部プールへの NAT を定義します 注 :NAT プール名は大文字と小文字が区別されます ここに入力されたプール名は以前の手順で使用されたものと一致している必要があることを忘れないでください Gateway(config)# ip nat inside source list 1 pool public_access 手順 6: 設定をテストします a. PC-B から ISP の Lo0 インターフェイス (192.31.7.1) へ ping を実行します ping に失敗した場合は 問題をトラブルシューティングして修正します ゲートウェイルータで NAT テーブルを表示します Gateway# show ip nat translations icmp 209.165.200.242:1 192.168.1.21:1 192.31.7.1:1 192.31.7.1:1 --- 209.165.200.242 192.168.1.21 --- --- PC-B の内部ローカルホストアドレスの変換対象は何ですか? 192.168.1.21 = PC-B が ISP の 192.31.7.1 へ ICMP メッセージを送信したときに プロトコルとしての ICMP と共にダイナミック NAT エントリがテーブルに追加されました この ICMP 交換に使用されたポート番号はなんですか? b. PC-B でブラウザを開き ISP のシミュレートされた Web サーバ (Lo0 インターフェイス ) の IP アドレスを入力します 要求された場合は パスワード webpass を使用して webuser としてログインします c. NAT テーブルを表示します tcp 209.165.200.242:1038 192.168.1.21:1038 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1039 192.168.1.21:1039 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1040 192.168.1.21:1040 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1041 192.168.1.21:1041 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1042 192.168.1.21:1042 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1043 192.168.1.21:1043 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1044 192.168.1.21:1044 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1045 192.168.1.21:1045 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1046 192.168.1.21:1046 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1047 192.168.1.21:1047 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1048 192.168.1.21:1048 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1049 192.168.1.21:1049 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1050 192.168.1.21:1050 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1051 192.168.1.21:1051 192.31.7.1:80 192.31.7.1:80 tcp 209.165.200.242:1052 192.168.1.21:1052 192.31.7.1:80 192.31.7.1:80 --- 209.165.200.242 192.168.1.22 --- --- この変換では どのプロトコルが使用されましたか? どのポート番号が使用されましたか? 内部 : 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 6 / 9 ページ
外部 : どの well-known ポート番号とサービスが使用されましたか? d. ゲートウェイルータで show ip nat statistics コマンドを使用して NAT 統計情報を確認します Gateway# show ip nat statistics Total active translations: 3 (1 static, 2 dynamic; 1 extended) Peak translations: 17, occurred 00:06:40 ago Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 345 Misses: 0 CEF Translated packets: 345, CEF Punted packets: 0 Expired translations: 20 Dynamic mappings: -- Inside Source [Id: 1] access-list 1 pool public_access refcount 2 pool public_access: netmask 255.255.255.224 start 209.165.200.242 end 209.165.200.254 type generic, total addresses 13, allocated 1 (7%), misses 0 Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0 注 : これはサンプル出力にすぎません 出力は正確に一致しないことがあります 手順 7: スタティック NAT エントリを削除します 手順 7 で スタティック NAT エントリが削除されています NAT エントリを確認できます a. パート 2 のスタティック NAT を削除します 子エントリを削除するか確認が求められたら yes と入力します Gateway(config)# no ip nat inside source static 192.168.1.20 209.165.200.225 Static entry in use, do you want to delete child entries? [no]: yes b. NAT と統計情報をクリアします c. 両方のホストから ISP(192.31.7.1) へ ping を実行します d. NAT テーブルと統計情報を表示します Gateway# show ip nat statistics Total active translations: 4 (0 static, 4 dynamic; 2 extended) Peak translations: 15, occurred 00:00:43 ago Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 16 Misses: 0 CEF Translated packets: 285, CEF Punted packets: 0 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 7 / 9 ページ
Expired translations: 11 Dynamic mappings: -- Inside Source [Id: 1] access-list 1 pool public_access refcount 4 pool public_access: netmask 255.255.255.224 start 209.165.200.242 end 209.165.200.254 type generic, total addresses 13, allocated 2 (15%), misses 0 Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0 Gateway# show ip nat translation icmp 209.165.200.243:512 192.168.1.20:512 192.31.7.1:512 192.31.7.1:512 --- 209.165.200.243 192.168.1.20 --- --- icmp 209.165.200.242:512 192.168.1.21:512 192.31.7.1:512 192.31.7.1:512 --- 209.165.200.242 192.168.1.21 --- --- 注 : これはサンプル出力にすぎません 出力は正確に一致しないことがあります 復習 1. NAT がネットワークで使用される理由は何ですか? 2. NAT の制限事項は何ですか? 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 8 / 9 ページ
ルータインターフェイスの集約表 ルータインターフェイスの集約 ルータのモデル Ethernet Interface #1 Ethernet Interface #2 Serial Interface #1 Serial Interface #2 1800 Fast Ethernet 0/0 (F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 1900 Gigabit Ethernet 0/0 (G0/0) Gigabit Ethernet 0/1 (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 2801 Fast Ethernet 0/0 (F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1) 2811 Fast Ethernet 0/0 (F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 2900 Gigabit Ethernet 0/0 (G0/0) Gigabit Ethernet 0/1 (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 注 : ルータがどのように設定されているかを確認するには インターフェイスを調べ ルータの種類とルータが持つインターフェイスの数を識別します 各ルータクラスの設定のすべての組み合わせを効果的に示す方法はありません この表には デバイスにイーサネットおよびシリアルインターフェイスの取り得る組み合わせに対する ID が記されています その他のタイプのインターフェイスは たとえ特定のルータに含まれている可能性があるものであっても 表には一切含まれていません ISDN BRI インターフェイスはその一例です カッコ内の文字列は インターフェイスを表すために Cisco IOS コマンドで使用できる正規の省略形です 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 9 / 9 ページ